<!DOCTYPE html>
<html lang="zh-CN">
<head>
  <meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=2">
<meta name="theme-color" content="#222">
<meta name="generator" content="Hexo 4.2.1">
  <link rel="apple-touch-icon" sizes="180x180" href="/images/apple-touch-icon-next.png">
  <link rel="icon" type="image/png" sizes="32x32" href="/images/%E6%AD%A6%E6%B1%8932x32.png">
  <link rel="icon" type="image/png" sizes="16x16" href="/images/%E6%AD%A6%E6%B1%8916x16.png">
  <link rel="mask-icon" href="/images/logo.svg" color="#222">

<link rel="stylesheet" href="/css/main.css">


<link rel="stylesheet" href="/lib1/font-awesome/css/all.min.css">
  <link rel="stylesheet" href="/lib1/pace/pace-theme-center-simple.min.css">
  <script src="/lib1/pace/pace.min.js"></script>

<script id="hexo-configurations">
    var NexT = window.NexT || {};
    var CONFIG = {"hostname":"example.com","root":"/","scheme":"Gemini","version":"7.8.0","exturl":false,"sidebar":{"position":"left","display":"post","padding":18,"offset":12,"onmobile":false},"copycode":{"enable":true,"show_result":true,"style":null},"back2top":{"enable":true,"sidebar":false,"scrollpercent":false},"bookmark":{"enable":false,"color":"#222","save":"auto"},"fancybox":false,"mediumzoom":false,"lazyload":false,"pangu":false,"comments":{"style":"tabs","active":null,"storage":true,"lazyload":false,"nav":null},"algolia":{"hits":{"per_page":10},"labels":{"input_placeholder":"Search for Posts","hits_empty":"We didn't find any results for the search: ${query}","hits_stats":"${hits} results found in ${time} ms"}},"localsearch":{"enable":true,"trigger":"auto","top_n_per_article":1,"unescape":false,"preload":false},"motion":{"enable":true,"async":false,"transition":{"post_block":"fadeIn","post_header":"slideDownIn","post_body":"slideDownIn","coll_header":"slideLeftIn","sidebar":"slideUpIn"}},"path":"search.xml"};
  </script>

  <meta name="description" content="HTTP首部概述CORS同源策略同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。它们应该只被允许访问来自同一站点的资源，而不是那些来自其它站点可能怀有恶意的资源。 所谓同源是指：域名、协议、端口相同。同源策略又分为以下">
<meta property="og:type" content="article">
<meta property="og:title" content="从CORS开始的HTTP首部概述">
<meta property="og:url" content="http://example.com/2021/07/10/%E9%9D%A2%E8%AF%95%E6%80%BB%E7%BB%93/%E4%BB%8ECORS%E5%BC%80%E5%A7%8B%E7%AE%80%E8%BF%B0HTTP%E5%A4%B4/index.html">
<meta property="og:site_name" content="Technological Blog">
<meta property="og:description" content="HTTP首部概述CORS同源策略同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。它们应该只被允许访问来自同一站点的资源，而不是那些来自其它站点可能怀有恶意的资源。 所谓同源是指：域名、协议、端口相同。同源策略又分为以下">
<meta property="og:locale" content="zh_CN">
<meta property="article:published_time" content="2021-07-10T13:28:16.000Z">
<meta property="article:modified_time" content="2021-11-03T08:24:31.069Z">
<meta property="article:author" content="Li Yudong">
<meta property="article:tag" content="面试总结">
<meta name="twitter:card" content="summary">

<link rel="canonical" href="http://example.com/2021/07/10/%E9%9D%A2%E8%AF%95%E6%80%BB%E7%BB%93/%E4%BB%8ECORS%E5%BC%80%E5%A7%8B%E7%AE%80%E8%BF%B0HTTP%E5%A4%B4/">


<script id="page-configurations">
  // https://hexo.io/docs/variables.html
  CONFIG.page = {
    sidebar: "",
    isHome : false,
    isPost : true,
    lang   : 'zh-CN'
  };
</script>

  <title>从CORS开始的HTTP首部概述 | Technological Blog</title>
  






  <noscript>
  <style>
  .use-motion .brand,
  .use-motion .menu-item,
  .sidebar-inner,
  .use-motion .post-block,
  .use-motion .pagination,
  .use-motion .comments,
  .use-motion .post-header,
  .use-motion .post-body,
  .use-motion .collection-header { opacity: initial; }

  .use-motion .site-title,
  .use-motion .site-subtitle {
    opacity: initial;
    top: initial;
  }

  .use-motion .logo-line-before i { left: initial; }
  .use-motion .logo-line-after i { right: initial; }
  </style>
</noscript>

</head>

<body itemscope itemtype="http://schema.org/WebPage">
  <div class="container use-motion">
    <div class="headband"></div>

    <header class="header" itemscope itemtype="http://schema.org/WPHeader">
      <div class="header-inner"><div class="site-brand-container">
  <div class="site-nav-toggle">
    <div class="toggle" aria-label="切换导航栏">
      <span class="toggle-line toggle-line-first"></span>
      <span class="toggle-line toggle-line-middle"></span>
      <span class="toggle-line toggle-line-last"></span>
    </div>
  </div>

  <div class="site-meta">

    <a href="/" class="brand" rel="start">
      <span class="logo-line-before"><i></i></span>
      <h1 class="site-title">Technological Blog</h1>
      <span class="logo-line-after"><i></i></span>
    </a>
      <p class="site-subtitle" itemprop="description">IT小白的成长之旅</p>
  </div>

  <div class="site-nav-right">
    <div class="toggle popup-trigger">
        <i class="fa fa-search fa-fw fa-lg"></i>
    </div>
  </div>
</div>




<nav class="site-nav">
  <ul id="menu" class="main-menu menu">
        <li class="menu-item menu-item-about">

    <a href="/about/" rel="section"><i class="user fa-fw"></i>关于</a>

  </li>
        <li class="menu-item menu-item-tags">

    <a href="/tags/" rel="section"><i class="tags fa-fw"></i>标签<span class="badge">18</span></a>

  </li>
        <li class="menu-item menu-item-categories">

    <a href="/categories/" rel="section"><i class="th fa-fw"></i>分类<span class="badge">14</span></a>

  </li>
        <li class="menu-item menu-item-archives">

    <a href="/archives/" rel="section"><i class="archive fa-fw"></i>归档<span class="badge">95</span></a>

  </li>
      <li class="menu-item menu-item-search">
        <a role="button" class="popup-trigger"><i class="fa fa-search fa-fw"></i>搜索
        </a>
      </li>
  </ul>
</nav>



  <div class="search-pop-overlay">
    <div class="popup search-popup">
        <div class="search-header">
  <span class="search-icon">
    <i class="fa fa-search"></i>
  </span>
  <div class="search-input-container">
    <input autocomplete="off" autocapitalize="off"
           placeholder="搜索..." spellcheck="false"
           type="search" class="search-input">
  </div>
  <span class="popup-btn-close">
    <i class="fa fa-times-circle"></i>
  </span>
</div>
<div id="search-result">
  <div id="no-result">
    <i class="fa fa-spinner fa-pulse fa-5x fa-fw"></i>
  </div>
</div>

    </div>
  </div>

</div>
    </header>

    
  <div class="back-to-top">
    <i class="fa fa-arrow-up"></i>
    <span>0%</span>
  </div>

  <a href="https://github.com/tiarmor1" class="github-corner" title="Follow me on GitHub" aria-label="Follow me on GitHub" rel="noopener" target="_blank"><svg width="80" height="80" viewBox="0 0 250 250" aria-hidden="true"><path d="M0,0 L115,115 L130,115 L142,142 L250,250 L250,0 Z"></path><path d="M128.3,109.0 C113.8,99.7 119.0,89.6 119.0,89.6 C122.0,82.7 120.5,78.6 120.5,78.6 C119.2,72.0 123.4,76.3 123.4,76.3 C127.3,80.9 125.5,87.3 125.5,87.3 C122.9,97.6 130.6,101.9 134.4,103.2" fill="currentColor" style="transform-origin: 130px 106px;" class="octo-arm"></path><path d="M115.0,115.0 C114.9,115.1 118.7,116.5 119.8,115.4 L133.7,101.6 C136.9,99.2 139.9,98.4 142.2,98.6 C133.8,88.0 127.5,74.4 143.8,58.0 C148.5,53.4 154.0,51.2 159.7,51.0 C160.3,49.4 163.2,43.6 171.4,40.1 C171.4,40.1 176.1,42.5 178.8,56.2 C183.1,58.6 187.2,61.8 190.9,65.4 C194.5,69.0 197.7,73.2 200.1,77.6 C213.8,80.2 216.3,84.9 216.3,84.9 C212.7,93.1 206.9,96.0 205.4,96.6 C205.1,102.4 203.0,107.8 198.3,112.5 C181.9,128.9 168.3,122.5 157.7,114.1 C157.9,116.9 156.7,120.9 152.7,124.9 L141.0,136.5 C139.8,137.7 141.6,141.9 141.8,141.8 Z" fill="currentColor" class="octo-body"></path></svg></a>


    <main class="main">
      <div class="main-inner">
        <div class="content-wrap">
          

          <div class="content post posts-expand">
            

    
  
  

  <article itemscope itemtype="http://schema.org/Article" class="post-block" lang="zh-CN">
    <link itemprop="mainEntityOfPage" href="http://example.com/2021/07/10/%E9%9D%A2%E8%AF%95%E6%80%BB%E7%BB%93/%E4%BB%8ECORS%E5%BC%80%E5%A7%8B%E7%AE%80%E8%BF%B0HTTP%E5%A4%B4/">

    <span hidden itemprop="author" itemscope itemtype="http://schema.org/Person">
      <meta itemprop="image" content="/images/author.jpg">
      <meta itemprop="name" content="Li Yudong">
      <meta itemprop="description" content="">
    </span>
    
    <span hidden itemprop="publisher" itemscope itemtype="http://schema.org/Organization">
      <meta itemprop="name" content="Technological Blog">
    </span>
      <header class="post-header">
        <h1 class="post-title" itemprop="name headline">
          从CORS开始的HTTP首部概述
        </h1>
    
        <div class="post-meta">
            <span class="post-meta-item">
              <span class="post-meta-item-icon">
                <i class="far fa-calendar"></i>
              </span>
              <span class="post-meta-item-text">发表于</span>
    
              <time title="创建时间：2021-07-10 21:28:16" itemprop="dateCreated datePublished" datetime="2021-07-10T21:28:16+08:00">2021-07-10</time>
            </span>
              <span class="post-meta-item">
                <span class="post-meta-item-icon">
                  <i class="far fa-calendar-check"></i>
                </span>
                <span class="post-meta-item-text">更新于</span>
                <time title="修改时间：2021-11-03 16:24:31" itemprop="dateModified" datetime="2021-11-03T16:24:31+08:00">2021-11-03</time>
              </span>
            <span class="post-meta-item">
              <span class="post-meta-item-icon">
                <i class="far fa-folder"></i>
              </span>
              <span class="post-meta-item-text">分类于</span>
                <span itemprop="about" itemscope itemtype="http://schema.org/Thing">
                  <a href="/categories/%E5%89%8D%E7%AB%AF%E9%A1%B5%E9%9D%A2/" itemprop="url" rel="index"><span itemprop="name">前端页面</span></a>
                </span>
            </span>
    
          
    
        </div>
      </header>
    
    
    
    
    <div class="post-body" itemprop="articleBody">
    
      
        <h1 id="HTTP首部概述"><a href="#HTTP首部概述" class="headerlink" title="HTTP首部概述"></a>HTTP首部概述</h1><h2 id="CORS"><a href="#CORS" class="headerlink" title="CORS"></a>CORS</h2><h3 id="同源策略"><a href="#同源策略" class="headerlink" title="同源策略"></a>同源策略</h3><p>同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说 Web 是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。它们应该只被允许访问来自同一站点的资源，而不是那些来自其它站点可能怀有恶意的资源。</p>
<p>所谓同源是指：<strong>域名、协议、端口相同</strong>。同源策略又分为以下两种：</p>
<p>1、DOM 同源策略：禁止对不同源页面 DOM 进行操作。这里主要场景是 iframe 跨域的情况，不同域名的 iframe 是限制互相访问的。2、XMLHttpRequest 同源策略：禁止使用 XHR 对象向不同源的服务器地址发起 HTTP 请求。3、禁止读取Cookie、LocalStorage、IndexDB。</p>
<p>如果没有 DOM 同源策略，也就是说不同域的 iframe 之间可以相互访问，那么黑客可以这样进行攻击：1、做一个假网站，里面用 iframe 嵌套一个银行网站 <a href="http://mybank.com.2、把/" target="_blank" rel="noopener">http://mybank.com。2、把</a> iframe 宽高啥的调整到页面全部，这样用户进来除了域名，别的部分和银行的网站没有任何差别。3、这时如果用户输入账号密码，我们的主网站可以跨域访问到 <a href="http://mybank.com/" target="_blank" rel="noopener">http://mybank.com</a> 的 dom 节点，就可以拿到用户的账户密码了。</p>
<p>如果 XMLHttpRequest 同源策略，那么黑客可以进行 CSRF（跨站请求伪造） 攻击：1、用户登录了自己的银行页面 <a href="http://mybank.com,http//mybank.com" target="_blank" rel="noopener">http://mybank.com，http://mybank.com</a> 向用户的 cookie 中添加用户标识。2、用户浏览了恶意页面 <a href="http://evil.com,执行了页面中的恶意/" target="_blank" rel="noopener">http://evil.com，执行了页面中的恶意</a> AJAX 请求代码。3、<a href="http://evil.com/" target="_blank" rel="noopener">http://evil.com</a> 向 <a href="http://mybank.com/" target="_blank" rel="noopener">http://mybank.com</a> 发起 AJAX HTTP 请求，请求会默认把 <a href="http://mybank.com/" target="_blank" rel="noopener">http://mybank.com</a> 对应 cookie 也同时发送过去。4、银行页面从发送的 cookie 中提取用户标识，验证用户无误，response 中返回请求数据。此时数据就泄露了。</p>
<h3 id="JSONP"><a href="#JSONP" class="headerlink" title="JSONP"></a>JSONP</h3><p>由于 script 标签不受浏览器同源策略的影响，允许跨域引用资源。因此可以通过动态创建 script 标签，然后利用 src 属性进行跨域，这也就是 JSONP 跨域的基本原理。<code>JSONP（JSON with Padding）</code> ，它是一个 <strong>非官方</strong> 的协议，它允许在服务器端集成 <code>Script tags</code> 返回至客户端，通过 <code>javascript callback</code> 的形式实现跨域访问，但仅限于Get请求，这就是简单的JSONP实现形式，简单实例如下：</p>
<figure class="highlight javascript"><table><tr><td class="gutter"><pre><span class="line">1</span><br><span class="line">2</span><br><span class="line">3</span><br><span class="line">4</span><br><span class="line">5</span><br><span class="line">6</span><br><span class="line">7</span><br><span class="line">8</span><br><span class="line">9</span><br><span class="line">10</span><br><span class="line">11</span><br><span class="line">12</span><br><span class="line">13</span><br><span class="line">14</span><br></pre></td><td class="code"><pre><span class="line"><span class="comment">// 1. 定义一个 回调函数 handleResponse 用来接收返回的数据</span></span><br><span class="line"><span class="function"><span class="keyword">function</span> <span class="title">handleResponse</span>(<span class="params">data</span>) </span>&#123;</span><br><span class="line">    <span class="built_in">console</span>.log(data);</span><br><span class="line">&#125;;</span><br><span class="line"><span class="comment">// 2. 动态创建一个 script 标签，并且告诉后端回调函数名叫 handleResponse</span></span><br><span class="line"><span class="keyword">var</span> body = <span class="built_in">document</span>.getElementsByTagName(<span class="string">'body'</span>)[<span class="number">0</span>];</span><br><span class="line"><span class="keyword">var</span> script = <span class="built_in">document</span>.gerElement(<span class="string">'script'</span>);</span><br><span class="line">script.src = <span class="string">'http://www.laixiangran.cn/json?callback=handleResponse'</span>;</span><br><span class="line">body.appendChild(script);</span><br><span class="line"><span class="comment">// 3. a通过 script.src 请求 `http://www.laixiangrn.cn/json?callback=handleResponse`，</span></span><br><span class="line"><span class="comment">// 4. 后端能够识别这样的 URL 格式并处理该请求，然后返回 handleResponse(&#123;"name": "laixiangran"&#125;) 给浏览器；返回的是一个回调函数</span></span><br><span class="line"><span class="comment">// 5. 浏览器在接收到 handleResponse(&#123;"name": "laixiangran"&#125;) 之后立即执行 ，也就是执行 handleResponse 方法，</span></span><br><span class="line"><span class="comment">//获得后端返回的数据，这样就完成一次跨域请求了。</span></span><br><span class="line"><span class="comment">//JSONP是一段参数是json格式(大多数情况)的JS代码</span></span><br></pre></td></tr></table></figure>

<p>创建一个回调函数，然后在远程服务上调用这个函数并且将JSON 数据形式作为参数传递，完成回调，就是 <code>JSONP</code> 的简单实现模式，或者说是 <code>JSONP</code> 的原型。上面这种实现很简单，通常情况下，我们希望这个 <code>script</code> 标签能够动态的调用，而不是像上面因为固定在 <code>HTML</code> 里面加载时直接执行了，很不灵活，我们可以通过 <code>javascript</code> 动态的创建 <code>script</code> 标签，这样我们就可以灵活调用远程服务了。</p>
<h3 id="CORS-1"><a href="#CORS-1" class="headerlink" title="CORS"></a>CORS</h3><p>CORS<code>是一个W3C标准，全称是</code>跨域资源共享（Cross-origin resource sharing）。它允许浏览器向跨源服务器，发出 <code>XMLHttpRequest</code> 请求，从而克服了 <code>AJAX</code> 只能同源使用的限制。<code>CORS</code> 需要浏览器和服务器同时支持，目前基本所有浏览器都支持该功能，IE浏览器不低于 IE10 即可。因此，实现 <code>CORS</code> 通信的关键是服务器，只要服务器设置了允许的 <code>CORS</code> 接口，就可以进行跨源通信，要了解怎么实现 <code>CORS</code> 跨域通信，我们还要先了解浏览器对每个请求都做了什么</p>
<h4 id="简单请求"><a href="#简单请求" class="headerlink" title="简单请求"></a>简单请求</h4><p>1、请求方法是HEAD、GET、POST其中之一；</p>
<p>2、且请求头信息不超过一下：Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type。</p>
<p>对于简单请求，浏览器会直接发送CORS请求，就是在该请求的头信息中，自动添加一个Origin字段，来说明本次请求的来源（协议+域名+端口），而后服务i器会根据该值判断是否同意请求。</p>
<h4 id="非简单请求"><a href="#非简单请求" class="headerlink" title="非简单请求"></a>非简单请求</h4><p>对于非简单请求，浏览器会在正式通信之前做一次查询请求，叫做预检请求，也叫OPTIONS请求，请求方式为OPTIONS，用于询问。浏览器会先询问服务器，当前网页所在的域名是否在服务器的许可名单中，以及可以使用哪些HTTP动词和头信息字段。</p>
<p>预检请求头信息添加字段：Origin(表明来源)、Access-Control-Request-Method(浏览器CORS请求用到的HTTP请求方法)、Access-Control-Request-Headers(浏览器CORS请求额外发送的头信息字段)。</p>
<h4 id="Cookie"><a href="#Cookie" class="headerlink" title="Cookie"></a>Cookie</h4><p>CORS请求默认不发送Cookie和HTTP认证信息。如果要把Cookie发送到服务端，则需服务端、客户端均开启请求。服务端设置Access-Control-Allow-Credentials；客户端打开<code>withCredentials</code> 属性。同时，<code>Cookie</code> 依然遵循同源政策，只有用服务器域名设置的 <code>Cookie</code> 才会上传，其他域名的 <code>Cookie</code> 并不会上传，且（跨源）原网页代码中的 <code>document.cookie</code> 也无法读取服务器域名下的 <code>Cookie</code>。</p>
<h4 id="服务端配置"><a href="#服务端配置" class="headerlink" title="服务端配置"></a>服务端配置</h4><p><code>CORS</code> 跨域请求中，最关键的就是 <code>Access-Control-Allow-Origin</code> 字段，是必需项，它表示服务端允许跨域访问的地址来源，你可以写入需要跨域的域名，也可以设为星号，表示同意任意跨源请求。</p>
<p>Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT…。配置允许跨域请求的方法。</p>
<p>Access-Control-Allow-Headers： x-requested-with,content-type…配置允许的请求头字段。</p>
<p>Access-Control-Allow-Credentials: true 配置是否允许发送Cookie。</p>
<p>Access-Control-Max-Age：配置本次预检请求的有效期</p>
<h2 id="状态码"><a href="#状态码" class="headerlink" title="状态码"></a>状态码</h2><p>在梳理HTTP请求头之前，先简单梳理一下HTTP的状态码。</p>
<h3 id="信息性状态码100-199"><a href="#信息性状态码100-199" class="headerlink" title="信息性状态码100~199"></a>信息性状态码100~199</h3><p>100：（Continue）当客户端要向服务器发送一个大实体前，先向服务器发送一个携带了值为100Continue的Expect请求首部；然后等待服务器对该请求响应，其实类似于CORS的预检请求。</p>
<p>101：(Switching Protocols)正在切换协议。</p>
<h3 id="成功状态码200-299"><a href="#成功状态码200-299" class="headerlink" title="成功状态码200~299"></a>成功状态码200~299</h3><p>200：（OK）请求被正常处理。</p>
<p>202：（Accepted）请求已被接受，但服务器并未执行其他动作。</p>
<p>204：（No Content）响应报文中包含HTTP首部与状态行，但无实体的主体。主要用于浏览器不转为显示新文档情况下，对其进行更新。</p>
<h3 id="重定向状态码300-399"><a href="#重定向状态码300-399" class="headerlink" title="重定向状态码300~399"></a>重定向状态码300~399</h3><p>重定向状态码要么提供客户端使用替代位置来访问资源；要么提供一个替代的响应而非资源内容。</p>
<p>301：（Moved Permanently）永久重定向，请求的资源已经被分配新的URL，旧资源已经永久移除。响应的Location首部中包含资源现存的URL。</p>
<p>302：（Found）临时重定向，客户端用Location首部地URL临时定位资源，之后还是使用老URL。</p>
<p>304：（Not Modified）1、客户端发送附带条件请求，服务器找到资源但不符合请求条件；2、客户端发起条件GET请求，而资源最近未被修改，该状态码用于协商缓存。</p>
<h3 id="客户端错误状态码400-499"><a href="#客户端错误状态码400-499" class="headerlink" title="客户端错误状态码400~499"></a>客户端错误状态码400~499</h3><p>400：（Bad Request）请求报文有语法错误；需要修改请求内容后再次发送请求；</p>
<p>403：（Forbidden）用于说明请求被服务器拒绝了。</p>
<p>404：（Not Found）说明服务器上无法找到请求地资源。</p>
<h3 id="服务错误状态码500-599"><a href="#服务错误状态码500-599" class="headerlink" title="服务错误状态码500~599"></a>服务错误状态码500~599</h3><p>500：（）服务器执行请求时错误；</p>
<p>503：（）服务器现在无法为请求提供服务；</p>
<h2 id="首部"><a href="#首部" class="headerlink" title="首部"></a>首部</h2><h3 id="通用首部"><a href="#通用首部" class="headerlink" title="通用首部"></a>通用首部</h3><p>通用首部提供了与报文相关地基本信息；其中通用信息首部包括：Connection；Date；MIME-Version；Trailer；Transfer-Encoding；Updata；Via。</p>
<p>通用缓存首部：Cathe-Control（用于强缓存，与Expires配合，设置某个绝对时间点限定读取缓存时间）。Cathe-Control保存相对时间，优先级高于Expires。</p>
<p>当服务器返回响应时，在 Response Headers 中将过期时间写入 expires 字段。接下来如果我们试图再次向服务器请求资源，浏览器就会先对比本地时间和 expires 的时间戳，如果本地时间小于 expires 设定的过期时间，那么就直接去缓存中取这个资源。expires写的是一个绝对的时间戳，例如：xxx年x月x日。而在 Cache-Control 中，我们通过 <code>max-age</code>字段 来控制资源的有效期。max-age 不是一个时间戳，而是一个时间长度。max-age 是一个相对时间，这就意味着它有能力规避掉 expires 可能会带来的时差问题。同样，因此cache-control的优先级比expires更高。Cache-Control 中还有更高优先级的s-maxage：用于表示 cache 服务器上（比如 cache CDN）的缓存的有效时间的，并只对 public 缓存有效。（public 与 private 是针对资源是否能够被代理服务缓存而存在的一组对立概念。）</p>
<h3 id="请求首部"><a href="#请求首部" class="headerlink" title="请求首部"></a>请求首部</h3><p>请求首部只在请求报文中有意义，说明发送请求者相关信息。其中信息首部包括：Client-IP、From、Host、Referer等。</p>
<p>Accept首部：为客户端提供将其喜好和能力告知服务器的方式。-Charset，-Encoding，-Language。</p>
<p>条件请求首部：客户端对请求加上的限制，要求服务器在响应前，确保某个条件为真。</p>
<p>安全请求首部：HTTP本身的简单安全措施，包括Authorization、Cookie，用于密码登录的token验证</p>
<p>代理请求首部：用于网络代理模式。</p>
<h3 id="响应首部"><a href="#响应首部" class="headerlink" title="响应首部"></a>响应首部</h3><p>响应报文有其响应首部集，有助于客户端处理响应，其信息首部包括：Age、Public、Server等。</p>
<p>协商首部：当资源有多种表示方法时，提供协商能力；</p>
<p>安全响应首部：Set-Cookie，在客户端设置一个令牌，以便服务端对客户端标识。</p>
<h3 id="实体首部"><a href="#实体首部" class="headerlink" title="实体首部"></a>实体首部</h3><p>信息性首部包括：Allow、Location。Location用于告诉客户端实体资源实际位于何处。</p>
<p>内容首部：Content.</p>
<p>实体缓存首部：Expires（保存强缓存资源的绝对过期时间）、ETag、Last-Modified。</p>
<p>ast-Modified 到 Etag**。Last-Modified 是一个时间戳，如果我们启用了协商缓存，它会在首次请求时随着 Response Headers 返回。随后我们每次请求时，会带上一个叫 If-Modified-Since 的时间戳字段，它的值正是上一次 response 返回给它的 last-modified 值。服务器接收到这个时间戳后，会比对该时间戳和资源在服务器上的最后修改时间是否一致，从而判断资源是否发生了变化。如果发生了变化，就会返回一个完整的响应内容，并在 Response Headers 中添加新的 Last-Modified 值；否则，返回如上图的 304 响应，Response Headers 不会再添加 Last-Modified 字段。</p>
<p>但是可能会有一个bug：我们编辑文件，但没有修改，服务器可能会以为我们修改了；修改文件的时间过快，服务器可能会感知不到。即：服务器并没有正确感知文件的变化。这样就引出了Etag，Etag 是由服务器为每个资源生成的唯一的<strong>标识字符串</strong>，这个标识字符串是基于文件内容编码的，只要文件内容不同，它们对应的 Etag 就是不同的。Etag 的生成过程需要服务器额外付出开销，会影响服务端的性能，这是它的弊端。同样，优先级方面，Etag高于Last-Modefied。</p>

    </div>
    
    
    
    
    <div>
      
        <div>
    
        <div style="text-align:center;color: #ccc;font-size:14px;">-------------本文结束<i class="fa fa-paw"></i>感谢您的阅读-------------</div>
    
</div>

      
    </div>
        <div class="reward-container">
  <div>坚持原创技术分享，您的支持将鼓励我继续创作！</div>
  <button onclick="var qr = document.getElementById('qr'); qr.style.display = (qr.style.display === 'none') ? 'block' : 'none';">
    打赏
  </button>
  <div id="qr" style="display: none;">
      
      <div style="display: inline-block;">
        <img src="/images/alipay.png" alt="Li Yudong 支付宝">
        <p>支付宝</p>
      </div>

  </div>
</div>

        

<div>
<ul class="post-copyright">
  <li class="post-copyright-author">
    <strong>本文作者： </strong>Li Yudong
  </li>
  <li class="post-copyright-link">
    <strong>本文链接：</strong>
    <a href="http://example.com/2021/07/10/%E9%9D%A2%E8%AF%95%E6%80%BB%E7%BB%93/%E4%BB%8ECORS%E5%BC%80%E5%A7%8B%E7%AE%80%E8%BF%B0HTTP%E5%A4%B4/" title="从CORS开始的HTTP首部概述">http://example.com/2021/07/10/面试总结/从CORS开始简述HTTP头/</a>
  </li>
  <li class="post-copyright-license">
    <strong>版权声明： </strong>本博客所有文章除特别声明外，均采用 <a href="https://creativecommons.org/licenses/by-nc-sa/4.0/" rel="noopener" target="_blank"><i class="fab fa-fw fa-creative-commons"></i>BY-NC-SA</a> 许可协议。转载请注明出处！
  </li>
</ul>
</div>

    
      <footer class="post-footer">
          <div class="post-tags">
              <a href="/tags/%E9%9D%A2%E8%AF%95%E6%80%BB%E7%BB%93/" rel="tag"># 面试总结</a>
          </div>
    
        

    
        
    <div class="post-nav">
      <div class="post-nav-item">
    <a href="/2021/07/10/vue%E6%BA%90%E7%A0%81/vue%E5%88%86%E6%9E%90/" rel="prev" title="vue分析">
      <i class="fa fa-chevron-left"></i> vue分析
    </a></div>
      <div class="post-nav-item">
    <a href="/2021/07/14/%E5%AD%A6%E6%A0%A1%E9%A1%B9%E7%9B%AE%E5%BA%94%E7%94%A8/%E5%9B%BE%E7%89%87%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E5%A4%84%E7%90%86/" rel="next" title="图片上传问题">
      图片上传问题 <i class="fa fa-chevron-right"></i>
    </a></div>
    </div>
      </footer>
    
  </article>
  
  
  



          </div>
          

<script>
  window.addEventListener('tabs:register', () => {
    let { activeClass } = CONFIG.comments;
    if (CONFIG.comments.storage) {
      activeClass = localStorage.getItem('comments_active') || activeClass;
    }
    if (activeClass) {
      let activeTab = document.querySelector(`a[href="#comment-${activeClass}"]`);
      if (activeTab) {
        activeTab.click();
      }
    }
  });
  if (CONFIG.comments.storage) {
    window.addEventListener('tabs:click', event => {
      if (!event.target.matches('.tabs-comment .tab-content .tab-pane')) return;
      let commentClass = event.target.classList[1];
      localStorage.setItem('comments_active', commentClass);
    });
  }
</script>

        </div>
          
  
  <div class="toggle sidebar-toggle">
    <span class="toggle-line toggle-line-first"></span>
    <span class="toggle-line toggle-line-middle"></span>
    <span class="toggle-line toggle-line-last"></span>
  </div>

  <aside class="sidebar">
    <div class="sidebar-inner">

      <ul class="sidebar-nav motion-element">
        <li class="sidebar-nav-toc">
          文章目录
        </li>
        <li class="sidebar-nav-overview">
          站点概览
        </li>
      </ul>

      <!--noindex-->
      <div class="post-toc-wrap sidebar-panel">
          <div class="post-toc motion-element"><ol class="nav"><li class="nav-item nav-level-1"><a class="nav-link" href="#HTTP首部概述"><span class="nav-number">1.</span> <span class="nav-text">HTTP首部概述</span></a><ol class="nav-child"><li class="nav-item nav-level-2"><a class="nav-link" href="#CORS"><span class="nav-number">1.1.</span> <span class="nav-text">CORS</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#同源策略"><span class="nav-number">1.1.1.</span> <span class="nav-text">同源策略</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#JSONP"><span class="nav-number">1.1.2.</span> <span class="nav-text">JSONP</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#CORS-1"><span class="nav-number">1.1.3.</span> <span class="nav-text">CORS</span></a><ol class="nav-child"><li class="nav-item nav-level-4"><a class="nav-link" href="#简单请求"><span class="nav-number">1.1.3.1.</span> <span class="nav-text">简单请求</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#非简单请求"><span class="nav-number">1.1.3.2.</span> <span class="nav-text">非简单请求</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#Cookie"><span class="nav-number">1.1.3.3.</span> <span class="nav-text">Cookie</span></a></li><li class="nav-item nav-level-4"><a class="nav-link" href="#服务端配置"><span class="nav-number">1.1.3.4.</span> <span class="nav-text">服务端配置</span></a></li></ol></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#状态码"><span class="nav-number">1.2.</span> <span class="nav-text">状态码</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#信息性状态码100-199"><span class="nav-number">1.2.1.</span> <span class="nav-text">信息性状态码100~199</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#成功状态码200-299"><span class="nav-number">1.2.2.</span> <span class="nav-text">成功状态码200~299</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#重定向状态码300-399"><span class="nav-number">1.2.3.</span> <span class="nav-text">重定向状态码300~399</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#客户端错误状态码400-499"><span class="nav-number">1.2.4.</span> <span class="nav-text">客户端错误状态码400~499</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#服务错误状态码500-599"><span class="nav-number">1.2.5.</span> <span class="nav-text">服务错误状态码500~599</span></a></li></ol></li><li class="nav-item nav-level-2"><a class="nav-link" href="#首部"><span class="nav-number">1.3.</span> <span class="nav-text">首部</span></a><ol class="nav-child"><li class="nav-item nav-level-3"><a class="nav-link" href="#通用首部"><span class="nav-number">1.3.1.</span> <span class="nav-text">通用首部</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#请求首部"><span class="nav-number">1.3.2.</span> <span class="nav-text">请求首部</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#响应首部"><span class="nav-number">1.3.3.</span> <span class="nav-text">响应首部</span></a></li><li class="nav-item nav-level-3"><a class="nav-link" href="#实体首部"><span class="nav-number">1.3.4.</span> <span class="nav-text">实体首部</span></a></li></ol></li></ol></li></ol></div>
      </div>
      <!--/noindex-->

      <div class="site-overview-wrap sidebar-panel">
        <div class="site-author motion-element" itemprop="author" itemscope itemtype="http://schema.org/Person">
    <img class="site-author-image" itemprop="image" alt="Li Yudong"
      src="/images/author.jpg">
  <p class="site-author-name" itemprop="name">Li Yudong</p>
  <div class="site-description" itemprop="description"></div>
</div>
<div class="site-state-wrap motion-element">
  <nav class="site-state">
      <div class="site-state-item site-state-posts">
          <a href="/archives/">
        
          <span class="site-state-item-count">95</span>
          <span class="site-state-item-name">日志</span>
        </a>
      </div>
      <div class="site-state-item site-state-categories">
            <a href="/categories/">
          
        <span class="site-state-item-count">14</span>
        <span class="site-state-item-name">分类</span></a>
      </div>
      <div class="site-state-item site-state-tags">
            <a href="/tags/">
          
        <span class="site-state-item-count">18</span>
        <span class="site-state-item-name">标签</span></a>
      </div>
  </nav>
</div>
  <div class="links-of-author motion-element">
      <span class="links-of-author-item">
        <a href="https://github.com/tiarmor1" title="GitHub → https:&#x2F;&#x2F;github.com&#x2F;tiarmor1" rel="noopener" target="_blank"><i class="fab fa-github fa-fw"></i>GitHub</a>
      </span>
      <span class="links-of-author-item">
        <a href="mailto:1157019137@qq.com" title="E-Mail → mailto:1157019137@qq.com" rel="noopener" target="_blank"><i class="fa fa-envelope fa-fw"></i>E-Mail</a>
      </span>
  </div>
  <div class="cc-license motion-element" itemprop="license">
    <a href="https://creativecommons.org/licenses/by-nc-sa/4.0/" class="cc-opacity" rel="noopener" target="_blank"><img src="/images/cc-by-nc-sa.svg" alt="Creative Commons"></a>
  </div>



      </div>

    </div>
  </aside>
  <div id="sidebar-dimmer"></div>


      </div>
    </main>

    <footer class="footer">
      <div class="footer-inner">
        

        

<div class="copyright">
  
  &copy; 2020 – 
  <span itemprop="copyrightYear">2022</span>
  <span class="with-love">
    <i class="fa fa-heart"></i>
  </span>
  <span class="author" itemprop="copyrightHolder">Li Yudong</span>
</div>

        








      </div>
    </footer>
  </div>

  
  
  <script color='0,0,0' opacity='0.5' zIndex='-1' count='150' src="/lib1/canvas-nest/canvas-nest.min.js"></script>
  <script src="/lib1/anime.min.js"></script>
  <script src="/lib1/velocity/velocity.min.js"></script>
  <script src="/lib1/velocity/velocity.ui.min.js"></script>

<script src="/js/utils.js"></script>

<script src="/js/motion.js"></script>


<script src="/js/schemes/pisces.js"></script>


<script src="/js/next-boot.js"></script>




  




  
<script src="/js/local-search.js"></script>













  

  

  
   <canvas class="fireworks" style="position: fixed;left: 0;top: 0;z-index: 1; pointer-events: none;" ></canvas> 
   <script type="text/javascript" src="//cdn.bootcss.com/animejs/2.2.0/anime.min.js"></script> 
   <script type="text/javascript" src="/js/fireworks.js"></script>
  
</body>
</html>

